Die kostenlosen Sophos Firewall OS v19.5 MR2 Upgrades sind für alle lizenzierten Sophos Firewall Kunden verfügbar und werden kontinuierlich ausgerollt. Mit diesem Release implementiert Sophos zwei Sicherheitsverbesserungen. Diese Änderungen betreffen den Web Admin und den Zugriff auf das Benutzerportal aus dem Internet (WAN Zone).
Web-Admin-Zugriff für bestimmte IPs
Sophos empfiehlt dringend, den Zugriff auf die Web-Admin-Konsole von allen WAN-Quellen (dem Internet) zu deaktivieren, um das Potenzial für einen Brute-Force- oder Erkundungsangriff zu reduzieren. Stattdessen empfiehlt Sophos, dass das Remote-Management von Firewalls über Sophos Central durchgeführt wird.
Wenn Kunden jedoch unbedingt WAN-Zugriff auf die Web-Admin-Konsole bereitstellen müssen, erzwingt v19.5 MR2 den WAN-Zugriff von bestimmten IP-Adressen und Netzwerken mit einer ACL-Ausnahmeregel (Verwaltung > Gerätezugriff > Lokale Dienst-ACL-Ausnahmeregel). Es wird nicht mehr möglich sein, den Zugriff auf die Web-Admin-Konsole von allen WAN-Quellen aus zu aktivieren.
Für vorhandene Bereitstellungen gibt es keine Auswirkungen: Der Web-Admin-Zugriff, wenn er bereits von allen WAN-Quellen aus aktiviert ist, funktioniert auch nach dem Upgrade auf v19.5 MR2 weiter, es sei denn, er wird nicht mehr verwendet (siehe nächster Punkt). Web-Admin- oder Benutzerportalzugriff von allen WAN-Quellen (Internet) wird nach 90 aufeinanderfolgenden Tagen Inaktivität deaktiviert.
Viele Kunden haben den WAN-Zugriff auf die Web-Admin-Konsole und/oder das Benutzerportal vor langer Zeit eingerichtet, nutzen ihn nicht und haben ihn vergessen, wodurch ihre Firewalls potenziell für Brute-Forceangriff aus dem Internet anfällig sind.
Der mit der neuen ACL-Ausnahmeregel konfigurierte Zugriff wird NICHT deaktiviert, auch nicht nach 90 Tagen Inaktivität.
Es gibt keine Auswirkungen auf bestehende Bereitstellungen mit aktiver Nutzung. Wenn Kunden den Zugriff auf das Webadmin- oder Benutzerportal von allen WAN-Quellen aus aktiviert haben, bleibt der Zugriff auf diese Portale unberührt, solange mindestens alle 90 Tage eine Aktivität stattfindet.
Neue How-To-Anleitungen
Routing- und NAT-Konfiguration für IPsec: Neue How-To-Tutorials sind direkt mit dem entsprechenden Abschnitt des Produkts verlinkt und helfen bei IPsec-Implementierungen, einschließlich Anwendungsfällen wie systemgeneriertem DHCP-Relay-Traffic, Authentifizierungs-Traffic und Traffic zu einem Host durch einen bestehenden IPsec-Tunnel.
Andere Erweiterungen
Dynamisches Routing: Unterstützt jetzt bis zu 4K Multicast-Gruppen für zusätzliche Skalierbarkeit in den dynamischen Routing-Implementierungen. Dies beseitigt Probleme im Zusammenhang mit dynamischem Routing, bei denen der Beitritt zu Multicast-Gruppen fehlschlägt.
SD-RED: Ein neues Banner informiert Administratoren über das nahende EoL (End-of-Life) für ältere RED 15(w) und RED 50 Geräte. Kunden sollten ihre RED-Geräte auf die neuesten Modelle mit höherer Leistung und verbesserter Konnektivität aufrüsten.
Weitere Informationen finden Sie in den Versionshinweisen zu v19.5 MR2.